Вот именно поэтому я не очень верю в способность РКН сделать хоть что-то полезное и осмысленное для защиты персональных данных и прав их субъектов.
Решение о блокировке форума, публикующего утечки ПДн, принято в марте 22-го года. Сайт заблокирован судом 31-го января 23-го года (не спрашивайте, почему между этими событиями 10+ месяцев; отставить шутки про «Почту России»). Вы думаете сайт теперь недоступен? Хренушки - все работает, как и раньше. Зато можно отчитаться, что граждане России защищены.
Не удивлюсь, если после принятия закона об оборотных штрафов и уголовной ответственности за незаконный оборот ПДн неустановленные лица (админы форума) будут оштрафованы и заочно арестованы. И кого волнует, что все это только на бумаге. В палочной статистике это будет подано как победа над врагами!
Вместо того, чтобы заняться нормальным правоприменением (кстати, что там с расследованием утечки из ГРЧЦ; вышли на самих себя?), регулятор занимается строительством воздушных замков.
Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию
Читать полностью…Зачем писсуару SD Card? Они бы еще TouchID туда встроили. Бездумная автоматизация и интернетовещейоснащение…
Читать полностью…Конфликты, они всегда одинаковы, что физические, что виртуальные. Один думает, что он прав, другой - что он сильнее. А сгорают в итоге оба ;-(
ЗЫ. Бардин все-таки гениальный мультипликатор.
Сегодня у нас опять книжный день. Купился на аннотацию еще одной отечественной книжки, в которой рассказывалось о SOCах в КИИ, мониторинге ИБ в КИИ и т.п. Вот такой типовой SOC предлагается строить - все на нейросетях… но немного умалчивается момент, связанный с обучением нейросетки. Где взять реальные события для обучения? Список датасетов в приложении к книге есть, но он немного устаревший и совсем неполный - обучить на нем современный SOC невозможно ☹️
Читать полностью…Челядь самарского губернатора Дмитрия Азарова сообщила о взломе портала с отчётом об исполнении самарской «Народной программы» «Единой России». Экстравагантное заявление о порче базы данных появилось после того, как выяснилось, что портал набит мусором. В буквальном смысле – случайными числами и стоковыми картинками. Бесстыжую халтуру Дмитрий Азаров богато продал Андрею Турчаку («только в Самаре», «уникальное», «выполнено 5400 объектов» и т.п.). После фотосессии с планшетом (лица мыслителей, думы о народе, бровки домиком) самарский фуфел был рекомендован Турчаком к повсеместному внедрению.
Тем временем объявлена премия 100 тыс. руб. тому, кто найдет азаровскую Народную программу - 2018. В неё, якобы, внесены 340 тыс. предложений от 205 тысяч граждан. Парадоксальным образом программы нет на «взломанном» портале с отчётом о её исполнении, а на месте портала для сбора предложений – реклама казино. Исчезло и приложение «Мы вместе», которое по заказу Департамента управления делами Азарова было разработано за неделю и 24 млн.руб. бывшим продавцом М-Видео. Как, впрочем, нет и никаких следов того, что кто-либо интересовался Народной программой - 2018 до губернаторских выборов - 2023. Из 205 тысяч граждан телеграмм-каналом Народной программы заинтересовалось 84 человека. Её «уникальный информационный портал» имеет нулевую посещаемость и по какой-то необъяснимой причине не образует единое целое с официальным сайтом «Единой России». Обвинить хакеров в отсутствии интереса к продуктам губернаторской жизнедеятельности сложно. Поэтому стоит задуматься о том, насколько народной оказалась азаровская Народная программа - 2018. Если она вообще когда-либо существовала кроме как медийный фантом.
ФБ напомнил, что 10 лет назад я задавался сакраментальным вопросом, который в неизменном виде могу снова задать и сейчас. Все-таки есть стабильность у нас в стране, есть…
Читать полностью…Не работала учетка ребенка в школе. Написал в поддержку, получил гениальный ответ!
Читать полностью…Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!
Читать полностью…Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
В прошлой заметке, когда я упомянул СПЧ, предлагающего приравнять защиту ПДн и гостайны, еще была надежда, что член СПЧ Кабанов ошибся, но теперь все встало на свои места. Тот же член предлагает аккредитовывать все организации, работающие с персданными 🤡. И ничего, что каждое российское юрлицо и ИП работает с ПДн. А потом этот член вспомнит, что раньше от каждого оператора ПДн требовали лицензию на ТЗКИ… 🥳
Читать полностью…Спорил с преподавателем английского на тему, что такое искусство и, в частности, перформанс. Я придерживаюсь мысли, что, если в центре выставки наложить кучу говна, то это будет куча говна. А препод считает, что если автор вложил в это некий смысл и вокруг кучи говна строится целая история, то это уже перформанс.
К чему это я? На фото взломанная (или упавшая) винда, управляющая подсветкой колонн в торговом центре. Это я так приземленно думаю. А айтишник ТЦ может представить это как перформанс, демонстрирующий иллюзорность этого мира, ненадежность столпов, основ, на которых держится все наше мироздание.
Во-первых, это красиво - если убрать слово компьютерной (а это вполне допустимо), то название книги состоит из 9 существительных подряд. Во-вторых, уже на первых страницах авторы, ссылаясь на "Теорию положений о криминологии" Беккария и Бентама, строят свою методику прогнозирования атак на предположении, что если:
😈 у человека есть возможность совершить преступление и
😈 человек в случае совершения преступления получает достаточную (с точки зрения нарушителя) полезность,
то любой человек становится нарушителем.
То есть если бухгалтер может (а он может) перевести 25 миллионов рублей на подставной счет и при его зарплате в 50 тысяч рублей этой суммы ему хватит на 40 лет, то, согласно теории, такой бухгалтер станет обязательно нарушителем?.. И с этим тезисом я как-то пока не могу согласиться - буду читать дальше. Может по ходу авторы обоснуют свою методику. Пока же это выглядит странновато. Хотя эта же исходная предпосылка позволяет гораздо проще предсказывать атаки - вокруг же одни враги!
ЗЫ. Но обзор методик моделирования угроз и рисков, включая и методику ФСТЭК, сделан в целом неплохой.
На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
К разговору о том, что ИБ - это не только технологии и оргмеры, но и другие задачи, под которые тоже нужны люди. В российских компаниях (правда, немаленьких), в их службах ИБ, уже появляются новые должности, о чем и написал в блоге
Читать полностью…«Исчерпывающе описано конечным числом первых событий…» Нууу, такое… Посмотрел бы я на современное ИТ-решение, которое имеет конечное число состояний и событий и для которого исключены недокументированные возможности. Возможно, где-то в теории такое и существует, но вот на практике…
Читать полностью…Похоже, что авторы вместо КИИ по закону рассматривают КИИ по смыслу. Ну как всерьез можно утверждать, что для какой-нибудь почтовой системы районной поликлиники недопустимы остаточные риски (а это тоже КИИ)? Само упоминание недопустимости событий мне импонирует, но вот вывод… Это для какой-нибудь системы управления прохождением нефтепродукта по трубопроводу можно всерьез рассматривать, что остаточные риски недопустимы; и то с оговорками. Даже для АЭС есть остаточные риски, вполне себе допустимые.
ЗЫ. Это в теории нет разницы между теорией и практикой. А на практике есть.
Книга предлагает за счет асимптотического повышения уровня защищенности стремиться к идеальной ИБ. Уже одно это утопия, но на ней построена вся книга. Но это и удобно. Не надо разбираться в реальной работе SOCа и его компонентов. Достаточно сказать, что мы идем к идеалу "как должно быть". Поэтому можно приводить вот такие формулы оценки качества детекта…
Читать полностью…Для обхода санкций и возможности доступа к ресурсам Сбера с зарубежных браузеров банк стал использовать «неофициальные» домены, например, securecardpayment[.]ru и secure-payment-way[.]ru. Оно и понятно - бизнес есть бизнес и терять клиентов никто не хочет. Но тут мы видим прямое нарушение рекомендации, которую ИБшники дают уже много лет, - проверяйте домены, на которые ходите. А тут как быть? Вот, например, скриншот фишингового домена microsoftidentity[.]dev для аутентификации в сервисах Microsoft.
Читать полностью…OSC&R (Open Software Supply Chain
Attack Reference) - база знаний, описывающая тактики, техники и процедуры, используемые злоумышленниками для атак на цепочки поставок программного обеспечения.
Структура фреймворка OSC&R аналогична MITRE ATT&CK. Разработана бывшими и действующими сотрудниками Gitlab, Microsoft, Google Cloud, Check Point и OWASP.
Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!
Читать полностью…Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.
Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.
Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.
Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).
ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?
Получаем много вопросов о том, какую профессию в сфере информационной безопасности выбрать, куда пойти учиться, и чем именно занимаются наши сотрудники. Поэтому мы решили подробно разобрать тему профессий в ИБ в новом сезоне подкаста «Hack me, если сможешь».
В первом эпизоде поговорим с ML-инженерами. Гости выпуска, руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела перспективных технологий Артем Проничев, расскажут, как устроена их работа в Positive Technologies, какие стеки технологий используют, куда можно развиваться работая ML-специалистом в ИБ и как попасть к ним в команду.Будем рады поддержке этого выпуска лайком и репостом
❤️
ПО автомобиля нельзя обновить, потому что владелец живет на холме (дорога крутая). Интересная история… Если чуть подправить код (а я думаю, там простая бинарная проверка), то можно просто реализовать угрозу (даже можно сказать недопустимое событие для владельца авто), когда авто будет нельзя обновить вовсе
Читать полностью…Представил… Поехал я на Магнитку 🧲, вышел на горнолыжный склон, стою, пью глинтвейн, осмысливаю доклад «Как достойно выстоять в противостоянии «Приказ ФАПСИ №152 vs. IIoT»… Подходит ко мне афроамериканец, говорит «Хаузит» («привет» на африкаанс) и намекает, что он сотрудник южноафриканских спецслужб. Я, конечно, сразу же сообщаю, что знаком с российскими спецслужбами, забыв упомянуть, что у многих из них я в черном списке ;-) Картина маслом…
ЗЫ. На Магнитку я, кстати, еду ✈️, а название доклада взято из программы. Все остальное - художественный вымысел. В контактах с южноафриканской разведкой пока не замечен.
Навороченная Intelligence Architecture Mindmap, которая базируется на интервью с кучей экспертов по ИБ и разведке о том, как проводится анализ информации при принятии решений в области ИБ.
ЗЫ. Сам черт ногу сломит - надо сильно увеличивать.
Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
А это варианты дашбордов для темы внутреннего аудита, включая и вопросы кибербезопасности, оценки защищенности приложений и т.п.
Читать полностью…